Videoüberwachung in Arztpraxen und medizinischen Versorgungszentren: ein praktischer DSGVO-Leitfaden für Anmeldung und Verwaltung

Visual Data Anonymization bezeichnet die Aufbereitung von Fotos und Videoaufnahmen so, dass Personen im Bild nicht ohne unverhältnismäßigen Aufwand identifiziert werden können. Im Alltag einer Arztpraxis oder eines medizinischen Versorgungszentrums bedeutet das meist Face Blurring, also das Unkenntlichmachen von Gesichtern, und in manchen Fällen auch License Plate Blurring, wenn das Material den Parkplatz oder die Zufahrt zeigt. Für Anmeldung und Verwaltung ist das kein rein technisches Thema. Es geht um die tägliche Organisation rund um die Videoüberwachung im Wartezimmer, am Empfang und teilweise auch im Eingangsbereich von Behandlungsräumen.

In medizinischen Einrichtungen enthält Videomaterial sehr häufig personenbezogene Daten. Schon das Gesicht eines Patienten, einer Begleitperson oder eines Mitarbeiters ermöglicht in der Regel eine Identifizierung. Deshalb erfordert die Veröffentlichung eines Fotos oder die Weitergabe einer Aufnahme stets eine gesonderte Prüfung von Zweck, Umfang und Schutzmaßnahmen im Einklang mit der DSGVO [1]. Dieser operative Blick ist wichtiger als die pauschale Aussage, die Überwachung diene „der Sicherheit“.

Videoüberwachung in der Praxis und die DSGVO - was im Wartezimmer, am Empfang und vor dem Behandlungsraum zulässig ist

Das häufigste Modell in medizinischen Einrichtungen sieht ähnlich aus: Eine Kamera erfasst den Eingang, das Wartezimmer, den Flur oder den Empfangsbereich. Eine solche Videoüberwachung wird oft mit dem Schutz von Patienten, dem Eigentumsschutz oder der Aufklärung eines Vorfalls begründet. Dass die Überwachung als organisatorisches Instrument rechtmäßig betrieben wird, bedeutet jedoch noch nicht, dass Aufnahmen frei weitergegeben oder veröffentlicht werden dürfen.

In der Praxis ist es sinnvoll, drei Situationen zu unterscheiden: erstens die laufende Aufzeichnung zu Sicherheitszwecken, zweitens das Sichten einer Aufnahme nach einem Vorfall und drittens die Weitergabe des Materials an einen Patienten, die Polizei, einen Bevollmächtigten oder die Veröffentlichung eines Ausschnitts. Jeder dieser Schritte erfordert eine eigene Bewertung im Hinblick auf Datenminimierung und das Risiko einer Verletzung der Privatsphäre [1][2].

Im Wartezimmer ist das Risiko meist hoch, weil sich oft mehrere Personen gleichzeitig im Bild befinden. Am Empfang ist das Problem noch praxisnäher, da die Kamera Gesichter, Verhalten und den Arbeitsplatz erfassen kann. Im Bereich vor Behandlungsräumen ist besondere Vorsicht geboten, weil bereits der räumliche Kontext Informationen über den Gesundheitszustand oder die Art der Behandlung offenbaren kann. Genau deshalb verfolgen viele Organisationen einen vorsorglichen Ansatz: Soll das Material den internen Vorfallprozess verlassen, sollten die Gesichter anderer Personen als des berechtigten Empfängers unkenntlich gemacht werden.

Wie Videoüberwachung in einer medizinischen Einrichtung gekennzeichnet werden sollte

Die Kennzeichnung der Videoüberwachung sollte sich nicht auf ein bloßes Kamerasymbol beschränken. Gängige Compliance-Praxis ist ein kurzer Hinweis am Eingang sowie eine ausführlichere Datenschutzinformation, die für Patienten leicht zugänglich ist, etwa an der Anmeldung oder auf der Website der Einrichtung. Aus operativer Sicht sollte das Empfangspersonal mindestens vier Fragen beantworten können: Wer ist der Verantwortliche, welchem Zweck dient die Überwachung, welche Bereiche erfassen die Kameras und wie lange wird das Material gespeichert [1].

In medizinischen Einrichtungen hat die Kennzeichnung auch praktische Bedeutung. Ein Patient, der weiß, dass das Wartezimmer videoüberwacht ist, wird vom Vorhandensein einer Aufnahme seltener überrascht sein, und das Personal kann ein späteres Auskunftsersuchen leichter bearbeiten. Das entbindet jedoch nicht von der Pflicht, den Erfassungsbereich der Kamera auf das Notwendige zu begrenzen. Erfasst die Kamera am Empfang mehr als erforderlich, löst ein Hinweisschild allein das Problem der Übererfassung nicht.

Wann Gesichter auf Fotos und Videoaufnahmen anonymisiert werden müssen

Das Abbild einer Person in einer Praxis oder Klinik ist grundsätzlich schutzbedürftig. In der Praxis kann die Notwendigkeit, Gesichter vor einer Veröffentlichung oder weitergehenden Weitergabe unkenntlich zu machen, aus der DSGVO sowie aus dem Schutz des Persönlichkeitsrechts und den Regeln zur Verbreitung von Bildnissen nach Zivilrecht und Urheberrecht folgen. Das Urheberrecht sieht zwar Ausnahmen von der Einwilligung zur Verbreitung des Bildnisses vor, etwa bei Personen des öffentlichen Lebens im Zusammenhang mit der Wahrnehmung öffentlicher Funktionen, bei vereinbarter Vergütung für das Posieren oder wenn das Bildnis nur als Beiwerk einer Versammlung, Landschaft oder öffentlichen Veranstaltung erscheint.

Im Praxisalltag greifen diese Ausnahmen jedoch meist nur sehr eingeschränkt. Ein Patient im Wartezimmer ist kein Teil einer öffentlichen Veranstaltung. Eine Person an der Anmeldung tritt in der Regel nicht als bekannte Persönlichkeit im Zusammenhang mit der Wahrnehmung öffentlicher Aufgaben auf. Auch eine Vergütung für die Nutzung des Bildnisses ist eher selten. Deshalb ist es bei Material aus medizinischen Einrichtungen organisatorisch sicherer, grundsätzlich davon auszugehen, dass ein sichtbares Gesicht vor der Veröffentlichung unkenntlich gemacht werden muss oder dass eine tragfähige Rechtsgrundlage für die Offenlegung nachgewiesen werden muss.

Geht es darum, einem Patienten nach einem Vorfall Videomaterial zur Verfügung zu stellen, arbeiten Einrichtungen häufig mit dem Prinzip der selektiven Herausgabe. Das bedeutet, dass eine Kopie vorbereitet wird, in der die Gesichter anderer im Bild sichtbarer Personen unkenntlich gemacht werden, damit der Antragsteller nicht mehr Daten erhält als erforderlich [1][2].

Kennzeichen auf dem Praxisparkplatz - müssen sie unkenntlich gemacht werden?

License Plate Blurring ist in Deutschland wie auch auf europäischer Ebene weniger eindeutig zu bewerten als Face Blurring. Einerseits ist ein vorsorglicher Ansatz oft durch die Praxis von Datenschutzbehörden und die europäische Rechtsprechung gestützt, insbesondere wenn sich ein Kennzeichen leicht einer bestimmten Person zuordnen lässt. Andererseits wird in der juristischen Bewertung auch vertreten, dass ein Kfz-Kennzeichen nicht in jedem Fall für sich genommen ein personenbezogenes Datum ist. Daraus lässt sich aber nicht pauschal ableiten, dass Kennzeichen niemals personenbezogene Daten darstellen.

Für Arztpraxen und medizinische Einrichtungen ergibt sich daraus ein einfacher praktischer Schluss: Soll extern aufgenommenes Material weitergegeben oder veröffentlicht werden, ist es sinnvoll, Kennzeichen unkenntlich zu machen - insbesondere dann, wenn die Aufnahme mit einem Besuch in einer konkreten medizinischen Einrichtung verknüpft werden kann. In diesem Kontext steigt das Identifizierungsrisiko deutlich.

Wie ein Antrag eines Patienten auf Herausgabe einer Videoaufnahme bearbeitet werden sollte

Das Empfangspersonal braucht keine ausgefeilte Theorie, sondern ein klares Verfahren. In der Praxis bewähren sich meist fünf Schritte:

• Datum, Uhrzeit und Ort des Vorfalls feststellen,
• prüfen, ob die Aufnahme innerhalb der Aufbewahrungsfrist noch vorhanden ist,
• bewerten, ob auf dem Material andere Personen sichtbar sind,
• eine Arbeitskopie mit anonymisierten Gesichtern dieser Personen erstellen,
• dokumentieren, was an wen herausgegeben wurde.

Dieses Modell unterstützt den Grundsatz der Datenminimierung nach Art. 5 DSGVO [1].

Außerdem sollte zwischen „Auskunft über Daten“ und der Erwartung unterschieden werden, dass ein Patient die unbearbeitete Datei erhält. In einer medizinischen Einrichtung ist das sehr oft nicht angemessen, weil das Bildmaterial auch andere Patienten und Mitarbeiter erfasst. Daher ist es gängige Praxis, entweder eine auf das notwendige Maß beschränkte Version bereitzustellen oder eine kontrollierte Einsicht zu ermöglichen, wenn dies die Rechte anderer Personen besser schützt. Welches Modell im Einzelfall richtig ist, hängt von den konkreten Umständen ab [1][2].

Face Blurring und On-Premise-Software im Arbeitsalltag der Einrichtung

Wenn eine Praxis oder ein MVZ regelmäßig Videoaufnahmen bearbeiten muss, wird die manuelle Aufbereitung jeder einzelnen Datei schnell zur organisatorischen Belastung. Genau hier kommen Werkzeuge zur visuellen Datenanonymisierung ins Spiel. Gallio PRO ist eine On-Premise-Software zur Anonymisierung visueller Daten. Das ist besonders relevant für Organisationen, die Material lokal verarbeiten möchten, ohne es an externe Cloud-Dienste zu übermitteln.

Die Möglichkeiten eines solchen Tools sollten jedoch präzise beschrieben werden. Gallio PRO anonymisiert nicht ganze Personen, sondern nur Gesichter und Kfz-Kennzeichen. Die Software führt keine Echtzeit-Anonymisierung und keine Anonymisierung von Videostreams durch. Die automatische Erkennung umfasst ausschließlich Gesichter und Kennzeichen. Firmenlogos, Tätowierungen, Namensschilder, Dokumente oder Inhalte auf Monitoren werden nicht automatisch erkannt. Diese Elemente können im integrierten Editor manuell unkenntlich gemacht werden.

Das ist sowohl für die Verwaltungsleitung als auch für den Empfang wichtig. Wenn eine Kamera am Arbeitsplatz einen Computermonitor oder ein Mitarbeiterausweis erfasst, reicht die Automatik allein nicht aus. Vor der Weitergabe des Materials ist dann ein einfacher zusätzlicher Schritt zur manuellen Prüfung erforderlich. Einen solchen Workflow kann man kostenlos testen, indem man die Demoversion herunterlädt und prüft, wie die Vorbereitung einer Kopie aus dem Wartezimmer oder Empfangsbereich in der Praxis aussieht.

Keine Logs mit Erkennungsdaten - warum das wichtig ist

In medizinischen Einrichtungen ist nicht nur relevant, was unkenntlich gemacht wird, sondern auch, welche Daten nach dem Anonymisierungsprozess selbst zurückbleiben. Nach den bereitgestellten Informationen sammelt Gallio PRO keine Logs, die Erkennungen von Gesichtern oder Kennzeichen enthalten. Ebenso werden keine Logs mit personenbezogenen Daten oder besonderen Kategorien personenbezogener Daten gespeichert.

Aus Compliance-Sicht ist das ein wertvoller organisatorischer Vorteil. Es reduziert die Zahl zusätzlicher Artefakte, die sonst geschützt, dokumentiert und später gelöscht werden müssten. Natürlich ersetzt das nicht die Bewertung des gesamten Prozesses, unterstützt aber den Grundsatz der Datenminimierung [1]. Bei größeren Implementierungen - insbesondere wenn eine Integration in die lokale Infrastruktur oder besondere Sicherheitsanforderungen erforderlich sind - lohnt es sich, Kontakt aufzunehmen und das passende On-Premise-Betriebsmodell abzustimmen.

Tabelle: Was mit Aufnahmen an typischen Orten in der Praxis zu tun ist

Die häufigsten Fehler in medizinischen Einrichtungen

Der erste Fehler besteht darin, jede Videoaufnahme als „internes“ Material zu behandeln, das später problemlos weitergegeben werden könne. Der zweite Fehler ist ein zu weit gefasster Kamerawinkel am Empfang. Der dritte ist das Fehlen eines Verfahrens für Patientenanträge. Der vierte ist die Annahme, dass nach dem Unkenntlichmachen eines einzelnen Gesichts der Rest des Bildes keine Rolle mehr spiele. Tatsächlich können weitere visuelle Identifikatoren im Material verbleiben, die manuell bearbeitet werden müssen. Der fünfte Fehler ist die Verwechslung eines Anonymisierungstools mit einem Live-System. Es ist wichtig, das noch einmal klar zu betonen: Gallio PRO führt keine Echtzeit-Anonymisierung durch und anonymisiert keinen Videostream.

Was sich als operativer Standard etablieren sollte

Für Anmeldung und Verwaltung funktioniert ein einfacher Standard am besten. Videomaterial wird vor jeder Weitergabe geprüft. Enthält eine Aufnahme Dritte, wird eine Arbeitskopie mit Face Blurring erstellt. Sind Kennzeichen sichtbar, prüft die Einrichtung License Plate Blurring als vorsorglichen Ansatz. Tauchen im Bild Identifikatoren auf, die nicht automatisch erkannt werden, erfolgt eine manuelle Bearbeitung. Der gesamte Ablauf sollte in einer kurzen, auch für nicht juristisch geschultes Personal verständlichen Verfahrensanweisung beschrieben sein.

FAQ - Videoüberwachung in Arztpraxen und medizinischen Einrichtungen

Darf eine Arztpraxis Kameras im Wartezimmer einsetzen?

Grundsätzlich ja, sofern ein klarer Zweck besteht und die Informationspflichten erfüllt werden. Das bloße Vorhandensein von Videoüberwachung bedeutet jedoch nicht, dass Aufnahmen frei veröffentlicht werden dürfen. Jede weitere Nutzung des Materials erfordert eine gesonderte DSGVO-Prüfung [1].

Kann ein Patient eine Kopie der Aufnahme vom Empfang verlangen?

Ein Patient kann einen Antrag in Bezug auf seine personenbezogenen Daten stellen, die Einrichtung muss dabei aber in der Regel auch die Rechte anderer auf dem Material sichtbarer Personen berücksichtigen. In der Praxis bedeutet das oft die Herausgabe einer Version mit anonymisierten Gesichtern anderer Personen oder eine andere Form des eingeschränkten Zugangs [1][2].

Müssen Gesichter auf Aufnahmen aus dem Wartezimmer unkenntlich gemacht werden?

In den meisten Fällen ja, wenn die Aufnahme weitergegeben oder veröffentlicht werden soll. In medizinischen Einrichtungen ermöglicht das Gesicht eines Patienten sehr häufig eine Identifizierung und ist daher besonders schutzbedürftig [1].

Müssen Kennzeichen bei Aufnahmen rund um die Praxis unkenntlich gemacht werden?

Das ist rechtlich nicht in jeder Konstellation eindeutig. Ein vorsorglicher Ansatz ist jedoch oft sinnvoll, insbesondere wenn die Aufnahme mit einem Besuch in einer medizinischen Einrichtung in Verbindung gebracht werden kann. Es lässt sich jedenfalls nicht pauschal sagen, dass Kennzeichen niemals personenbezogene Daten sind.

Macht Gallio PRO die gesamte Person unkenntlich?

Nein. Gallio PRO anonymisiert automatisch nur Gesichter und Kfz-Kennzeichen. Ganze Körper oder Silhouetten werden nicht automatisch unkenntlich gemacht.

Erkennt Gallio PRO Dokumente, Tätowierungen und Monitorinhalte automatisch?

Nein. Die automatische Erkennung umfasst ausschließlich Gesichter und Kennzeichen. Dokumente, Tätowierungen, Logos, Namensschilder und Inhalte auf Monitoren müssen im Editor manuell unkenntlich gemacht werden.

Speichert die Software Logs mit Erkennungsdaten?

Nein. Nach den bereitgestellten Informationen sammelt Gallio PRO keine Logs mit Erkennungen von Gesichtern oder Kennzeichen und speichert auch keine Logs mit personenbezogenen Daten oder besonderen Kategorien personenbezogener Daten.